,

从PCI DSS合规视角浅谈云租户环境的渗透测试

atsec高磊

关键词: 云安全、云上租户环境、渗透测试、PCI DSS、CDE、责任矩阵、网络分段验证

随着企业逐步将支付业务系统、数据库、API服务和运维组件部署至云环境,持卡人数据环境(CDE:Cardholder Data Environment)的边界也变得更加动态和复杂。相比传统数据中心,云环境具有资源弹性高、服务类型多、配置变化快等特点,但也带来了公网暴露面扩大、权限配置复杂、网络分段验证难度增加等安全挑战。

在企业进行PCI DSS合规时,选择具备PCI DSS合规能力的云服务商和相关云服务,可以为企业安全建设提供重要基础。但这并不意味着使用合规云平台的云租户自身也满足PCI DSS要求。在云环境中,云服务商与云租户之间通常存在明确的安全责任划分:云服务商主要负责云平台基础设施及相关托管服务的安全,云租户则需要对其在云平台上部署、配置、管理和使用的系统、数据、账号权限、网络访问控制和应用安全承担相应责任。在具体 PCI DSS 合规评估中,企业还应结合云服务商提供的责任矩阵(Responsibility Matrix),明确各项控制要求该由云服务商、云租户还是双方共同承担责任。

阅读全文